우크라이나를 대신해 러시아를 해킹하자는 인터넷 상의 움직임이 조금 뜸해진 분위기다. 이제 러시아는 사이버 공격으로부터 자유로워진 것일까?

[보안뉴스 문가용 기자] 약 1년 전 러시아는 우크라이나를 침략했다. 일방적인 침략 행위에 세계는 러시아를 비판했고, 우크라이나를 돕자는 움직임이 크게 일어났었다. 이는 물리적 공간에서만이 아니라 사이버 공간에서도 마찬가지였고, 그 가운데 #OpRussia가 탄생했다. 그리고 1년 후, 우리는 이 #OpRussia에 대해서 망각하고 있다. 우크라이나를 돕고 러시아를 방해하자는 이 작전은 어떻게 되어 가고 있으며, 무엇을 이루었나?


먼저 숫자로 #OpRussia를 점검해 보자. 물론 사이버 공간에서 비공식적인 채널로 이뤄지는 일이다 보니 정확한 통계 자료라는 게 존재하지는 않는다. 하지만 #OpRussia와 관련된 텔레그램 채널들의 참여자를 통해 추정해 보면 약 15만에서 40만 명의 사람들이 여기에 참여하고 있는 것으로 보인다. 디스코드에도 비슷한 채널들이 마련되어 있고, 각종 게시글이 올라오는데, 이를 바탕으로 사용자를 추산하면 20만 정도로 보인다.

하지만 우크라이나를 도와 러시아를 겨냥한 해킹 공격을 하겠다는 사람들이 공식 채널에서만 활동하는 건 아니다. 우크라이나의 수도 키이우에 위치한 버그바운티 전문 기업인 해큰(Hacken.io)의 경우, 자신들이 운영하는 플랫폼 내 해커들에게 러시아를 공격하라고 촉구했었고, 여기에 응한 사용자들도 여럿 된다. 버그바운티 플랫폼답게 여기서는 주로 러시아 인프라 내 취약점을 찾는 게 주요 목표였다. 하지만 얼마 지나지 않아 다시 우크라이나 인프라의 취약점을 찾아 보강하는 쪽으로 선회했다.

여기에 어나니머스(Anonymous)라는 거대한 핵티비스트 단체도 존재한다. 이들도 #OpRussia 태그를 달고 러시아를 겨냥한 공격을 최우선 과제로 삼았다. 이 외에도 독자적으로 러시아를 공격하는 단체들도 여기 저기서 생겨났다. 예를 들어 네트워크 바탈리온 65(Network Battalion 65)의 경우 2022년 2월 트위터를 통해 활동 시작을 알리더니 러시아의 고위급 표적들을 주기적으로 침해하기 시작했다. 이들 역시 #OpRussia 태그를 달고 움직이기 시작했다. 이러니 러시아를 공략하려는 사람들의 수를 정확히 알 방법은 존재하지 않는다.

해킹 도구와 프로젝트들
#OpRussia에 참여한 조직들의 가장 큰 목적은 러시아라는 국가에 손해를 누적시키는 것이었다. 그리고 표적은 러시아 시장에 아직 남아 있는 서방 국가들의 기업들로도 확대됐다. 이러한 목적으로 사용되는 도구들 중 현재까지도 가장 인기가 높은 건 디스밸런서(Disbalancer)로 리버레이터(Liberator)라는 이름으로 불리기도 한다. 사회 기반 시설들을 중심으로 디도스 공격을 실시하는 데 사용된다. 윈도용, 맥용, 리눅스용 버전이 각기 존재하며 필요에 따라 다운로드만 하면 누구나 사용할 수 있다.

디스밸런서는 높은 성공률을 지금까지 기록하고 있다. 전성기에는 하루 평균 3만 4천 명이 사용했으며, 현재도 하루 평균 3천 명 이상이 사용하고 있다. 현재까지 20만 번 이상 다운로드 됐으며, 현재까지 700곳 이상의 러시아 조직들을 공격했다고 한다. 러시아 입장에서 가장 경계하는 공격 도구로 기억될 수 있다.

간단한 웹 기반 도구이자 웹사이트였던 플레이포우크라인라이프(PlayforUkraine.life)도 있다. 애플리케이션 층위에서 디도스 공격을 실시하는 데 활용됐었다. 이 도구 때문에 러시아에서 가장 큰 은행인 알파방크(Alfabank)가 운영을 중단하기도 했었다. 다만 플레이포우크라인라이프는 더 이상 존재하지 않는다. 작년 7~8월부터 중단된 것으로 보인다. 웨이스트러시안타임투데이(WasteRussianTime.today)라는 사이트도 있다. 하지만 그리 대단한 업적을 남기지는 못했다. 현재 접속해 보면 502 오류 메시지가 뜨며, 작년 6월과 7월부터 중지된 것으로 분석된다.

각종 사건과 침해 효과
이런 사이버 작전들이 성공하면서 가장 빠르게 나타난 효과는 “러시아는 뚫을 수 없다”는 고정관념이 깨진 것이다. 공교롭게도 이는 러시아의 물리적 군사력과 관련된 국제적 평판에도 비슷한 일이 있었다는 걸 우리는 알고 있다. 여기서 러시아가 뚫려버린 사례를 일일이 다 적을 수는 없어 대표적인 것 몇 가지만 예를 들고자 한다.

1) 로스콤나드조르(Roskomnadzor, 국민 감시 기관)의 900GB 침해 사건
2) VGTRK의 700GB 이메일 침해 사건(20년 치)
3) 로사톰(Rosatom, 러시아 핵 기관)의 침해 사건
4) 러시아 중앙은행 침해 사건
5) 가스프롬 침해 사건
6) 페트로포트(Petrofort) 침해 사건
7) 러시아 내무부 침해 사건
8) 트랜스네프트(Transneft) 침해 사건
9) 스베르방크(SberBank) 침해 사건
10) 연방 보안 서비스국 침해 사건
11) 러시아 정교회 침해 사건

전쟁 개시 후 6개월 동아나 러시아는 3일에 한 번 꼴로 침해 사건을 겪었다. 시도가 있었다는 게 아니라 피해를 실질적으로 입었다는 뜻이다. 그리고 이 정보를 전부 합하면 20TB가 넘는 것으로 계산된다. 첫 6개월 동안 공개된 사건들만 집계했는데도 이 정도다. 러시아는 난공불락의 국가가 절대 아니었다. 워낙 스스로가 공격자 입장에 있었기 때문에 그런 이미지가 누적됐을 뿐이다. 하지만 그 첫 6개월이 지난 후 러시아를 겨냥한 사이버 공격자들의 기세는 한풀 꺾였다. 네트워크 바탈리온 65의 경우도 2월부터 각종 러시아 조직들을 무차별적으로 공격하더니 8월부터 활동이 없다.

지금은 어떤 상황일까?
사실 사이버전은 한 번도 멈춘 적이 없다. 뜸해졌다고 하기에도 애매한 구석이 있다. 다만 조금 눈에 덜 띄는 곳으로 무대가 옮겨갔을 뿐이다. 지금 시점에서 반러 해커들의 집중 공격을 받고 있는 건 atol.ru와 ofd.ru라는 기업으로, 전자는 자동화, 후자는 클라우드에 집중하고 있다. 디스밸런서 도구는 여전히 왕성하게 활동하고 있다.

그러면 왜 우리는 이런 소식을 덜 접하게 됐을까? 서방 매체들이 우크라이나와 관련된 기사를 예전만큼 많이 쓰고 있지 않기 때문이다. 매체들만의 문제일까? 구글 트렌드를 보면 2022년 6월부터 현재까지 우크라이나를 검색하는 비율이 꾸준히 줄어듦을 알 수 있다. 다시 말하자면, 그들이 옮겨 간 눈에 조금 덜 띄는 무대는 우리 모두의 ‘무관심’이었다.

글 : 알렉스 헤인즈(Alex Haynes), CISO, IBS Software
[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>